ネットワークスペシャリストお勉強ノート【セキュリティの基礎技術編】

【セキュリティの基礎技術】
★FW
フィルタリング機能
DMZ
パケットフィルタリング方式
サーキットゲートウェイ方式
アプリケーションゲートウェイ方式

★UTM
United Threat Management
セキュリティの統合管理製品
FW機能
VPN機能
侵入防止機能
バッファオーバーフロー攻撃遮断機能

★HA機能
高可用性　High Availability
FWの冗長化の仕組み
主系と副系
ActiveとStandby

★認証LAN
IEEE802.1X認証：IETF(Internet Engineering Task Force)が規定したEAP(Extensible Authentication Protocol)という認証や暗号鍵配送用のフレームワークを利用している
EAP-MD5：EAPの枠組みで動作するCHAP
PEAP：サーバ証明書を使い、クライアント側はIDとパスワードを利用する
EAP-TLS：SSLの後継であるTLSによって認証を行う
サプリカント：クライアントPCにインストール
オーセンティケータ：認証する者
認証サーバ：RADIUS

★IDSとIPS
Intrusion Detection System：侵入検知システム
ネットワーク型IDS
ホスト型IDS

Intrusion Prevention System
データの中身もチェックできる

シグネチャ型：既知の攻撃パターンとマッチング
アノマリ型：異常なパケット、トラフィックを分析

フォールスポジティブ
フォールスネガティブ

★IPsec
VPN：Visual Private Network
インターネットVPNを実現するときの技術がIPsec
暗号化だけでなく認証、改ざん検知なども含めた総合的なセキュリティを確保できる
利用者の利便性が高い

ESP：Encapsulating Security Payload　暗号化と認証
AH：Authentication Header　認証のみ　あんまり利用されない

IKE：Internet Key Exchange 鍵交換のプロトコル

NATトラバーサル：ESPパケットをUDPでカプセル化することによって、NAT機器によるIPアドレスとポート番号の変換を可能にしている

VPNパススルー：NATルータがIPsecやPPTPの通信を識別して、適切な聞きにパケットを転送する方式

★PKI
Public Key Infrastructure：公開鍵基盤
公開鍵を利用したセキュリティ基盤
ディジタル証明書：公開鍵を証明するもの
ディジタル署名：改ざん防止、なりすまし防止、否認防止、暗号化
認証局（CA）
CRL：Certificate Revocation List　失効リスト

★SSL
Secure Socket Layer
ネットスケープコミュニケーションズ社が開発したデータを暗号化するプロトコル
https
TSL：機能追加したもの
SSLハンドシェイクプロトコルとSSLレコードプロトコル
SSL-VPN

★標的型攻撃